共计 2441 个字符,预计需要花费 7 分钟才能阅读完成。
近年来星环科技围绕着数据安全做了大量的工作,造成了一个数据安全的产品体系。本文次要给大家介绍下星环数据云基于零信赖平安理念在网络安全上的思考与实际。首先对星环数据云产品的平安需要进行梳理和分类,大抵可分为四类:
l 数据应用层须要可信的数据利用机制,可能通过对内受权、对外隐衷计算等形式帮忙数据安全流通。l 数据资源层须要对进行数据安全治理和平安防护,对数据分级分类、脱敏、溯源,管理权限等。l 大数据平台层须要可信的软件环境,可能进行平台组件治理,数据加密传输和存储,审计操作,确权拜访等。l 云基础设施层须要可信的计算环境,可能对资源进行安全监控,资源隔离,破绽检测等。针对这四类需要,星环科技都针对性的提供了对应的平安产品用来提供相应的服务能力:
l 在数据应用层能提供了 可信数据流通和可信隐衷计算。l 在数据资源层提供了 数据安全治理,数据安全防护。l 在大数据平台层提供了 数据传输存储平安,数据安全射进,平台权限管控产品。l 在云基础设施层提供看基础设施安全监控,包含容器隔离,镜像扫描,动静破绽检测大家能够看到目前星环科技提供了很多维度的平安产品。本文次要围绕网络和认证相干的底层技术如:微隔离安全区、集群平安边界以及对立身份认证讲述零信赖网络实际。
首先介绍的是微隔离安全区性能。针对大数据业务场景,咱们对微隔离性能进行了深度打磨,从根本元语 / 元素到性能 / 个性实现做了大量的工作。不再应用传统网络中的五元组作为根本元素,而是更多的应用了多元化的逻辑标识作为微隔离的根本元语:Node、Namespace、Label、Service&Endpoints、Service Account、IPBlock 等。
基于根本元语以网络安全区为外围从新定义微隔离根本元素,灵便配置微隔离逻辑范畴,防止适度隔离或者隔离不到位。新的微隔离根本元素有:SecurityZone、SecurityGroup、SecurityRule。
SercurityZone 是以微隔离根本元语为利用单位划分的灵便的微隔离逻辑范畴。同时咱们对安全策略通过 SecurityGroup 以组的模式进行治理。而 SecurityRule 则是具体微隔离安全策略的具体规定。SecuriytyRule 最终会翻译为 OpenFlow Pipeline,实现安全策略性能。
微隔离安全区功还反对多种个性如:l 流量可观测性:多个维度对微隔离流量进行统计,并可视化展现,如:Node 维度、Pod 维度、Pod-Pod 维度、Pod-Service 维度、SecurityZone 维度。
l 反对 L7 的安全策略:咱们不仅反对 L2-L4 的安全策略访问控制,还在流量可观测性的根底上实现 L7 的更细粒度的平安防护。比方基于 L7 中的 protocols、method 以及 pach 等字段实现应用层的平安访问控制。
l 流量按需加密性能:在不借助 service mesh 的状况下实现轻量级的流量按需加密,比方能够对 SecurityZone 外部流量进行按需加密或者对 SecurityZone 和内部的流量按需加密。
l 微隔离安全区与 CNI 插件解耦:能够兼容多种支流 CNI 插件,如能够反对 Flannel、Calico 以及 Antrea。
l 安全策略引擎:对流量进行多维度的计算和学习。实现网络安全区内上架的利用的动静感知,主动依据流量通信记录学习生成安全策略。
接着介绍的是集群平安边界性能。后面介绍的微隔离安全区性能,次要确保了集群内的网络拜访平安。而集群内部平安的拜访集群内的利用也是重要的性能,为了确保这类拜访平安,咱们做了三方面的技术防护:第一个是平安边界负载均衡器:咱们对立集群南北流量,在做到高性能,高可用的同时,加强了平安相干的个性。如白名单治理、实在源 IP 以及网络加密。
K8s 自身不蕴含负载均衡器,基本上通过 nodeport 或者 ingress 对外提供服务,咱们为了确保安全拜访,自研了轻量的负载均衡器,对立了南北流量的拜访入口,能够将集群外部利用对立对外裸露,在确保高性能,节点高可用,AZ 高可用的同时,加强了以下平安性能。l 白名单治理,放行指定源 IP/CIDR 对指定集群利用的拜访,并反对对阻止的报文进行流量审计。配合 ingress 能够做到七层网络的平安访问控制。
l 实在源 IP,反对透传客户端 IP 性能,确保报文进入集群外部后进一步的平安审计解决。
l 网络加密,反对 WireGuard 隧道通信模式,包含用户和集群间以及集群之间建设 WireGuard 隧道进行加密通信。
第二个是跨集群平安通信:咱们之前曾经实现了跨集群的 Full Mesh 通信,即不借助网关节点两个集群之间 pod 和 pod 能够间接通信,在这之上,咱们加强了平安相干个性,确保跨集群 Pod-To-Pod 的平安通信。能够在两个 SLB 之间建设 wireguard 隧道。两个集群的 pod 之间集中通过 SLB 进行加密通信同时针对有能力配置 wireguard 隧道的用户,负载均衡器也反对和用户建设 wireguard 隧道,确保整个链路的平安加密。
第三个是边界防火墙:反对对 NodePort 类型的 Service、HostNetwork 类型的 Pod 以及局部配置端口映射的 Pod 设置集群维度、节点维度、内部拜访维度等多个维度边界平安规定。
最初介绍的是对立身份认证。无论是隔离防护性能还是边界防护性能次要是被动或者被动防护的性能,咱们还须要星环数据云中的 workloads 之间通信的身份认证。咱们认为星环数据云中的 workloads 之间网络通信都是不可信的,须要一个对立身份认证,在给 workloads 调配对立的标识 ID 的同时,实现基于 ID 的认证和通信策略管理。
星环数据云是一个多租户云平台,反对租户严格的受权和平安管控以及租户数据管理。咱们基于 SPIFFE 规范,集成 Spire 实现了基于身份认证的网络安全拜访。大数据组件的身份认证与网络身份认证整合,对立治理,反对策略联动。实现对立身份认证性能。
